Hallo!

Dies möchte ich nicht ungeprüft tun und jage die Daten nochmal per RegXps durch eine Prüfung (das Pattern für den Nachnamen ist zB ^[1]{1,25}$).

Bin ich damit auf der sicheren Seite? Welche Werte für $nachname wären eigentlich wirklich gefährlich für eine

Exakt für diesen Zweck gibt es in der MySQL-Extension von PHP die Funktion http://de3.php.net/mysql-real-escape-string (ab PHP4.3), bzw. http://de3.php.net/mysql-escape-string (ältere Versionen).

Diese Funktionen sorgen dafür dass alle möglicherweise "bösen" Zeichen entschärft werden. Was genau die Escapen kannnst Du in der MySQl-Doku nachlesen, da es sich hier um die gleichen Namen wie die C-Funktionen der mysql-lib handelt.

Grüße
Andreas